北京时间10月31日上午消息,谷歌首次涉足智能显示器领域并且推出了Google Home Hub,产品得到大家的一致好评。然而,根据一项安全审查,事实情况可能有所不同。一位研究人员声称这项设备的安全性“令人大失所望”。当然,谷歌肯定是否认这些说法的。
Google Home Hub无法像JBL Link View、Lenovo Smart Display等其他智能助手显示器在安卓系统上运行,而是使用谷歌的Cast Platform。根据近期的一次采访,似乎是因为公司对于Cast Platform更加熟悉才做出此决定的。
研究人员杰里·甘布林(Jerry Gamblin)表示,这一决定就使得设备可能面临诸多安全隐患。根据他的研究,使用不安全的应用程序接口可以在一些情况下远程控制Home Hub。据此,甘布林能够利用command prompt命令让Google Home Hub重新启动。
“过去两个晚上,我一直在研究Google Home Hub的安全性,结果令人大失所望。通过(非正式)的应用程序接口,可以不经身份验证就能进行远程控制。”
这里提到的API是Google Home应用程序用于连接设备的。更重要的是,这已经不是新闻媒体第一次报道此“安全漏洞”了。今年早些时候出现了更为严重的安全问题,即它可以揭露Chromecast或Google Home设备的准确位置(精确到街道地址)。
在上一次被曝出安全漏洞之后,谷歌修补了此漏洞,但是其他问题似乎依然未去处理。无所畏惧的黑客和研究人员还在继续利用该应用程序接口存在的问题进行尝试。
谷歌对此发表声明:“所有的Google Home设备在设计时都将用户安全和隐私问题置于首位,设备采用了受硬件保护的启动机制,进而确保只有谷歌认证的代码可以在设备上使用。此外,任何携带用户信息的对话内容都经过了验证和加密。
最近有关于Google Home Hub安全性问题的言论都是不准确的。此声明中提到的应用程序接口是手机应用用于配置设备的,只有在这些应用与Google Home设备使用相同WiFi网络的情况下才可以进入。尽管此言论描述了一些问题,但没有证据表明用户信息存在风险。”
谷歌并未给出明确的判定,双方都有理可据。但谷歌声称该API是用于配置设备且不会透露个人信息时,这其实已经验证了我们在非官方文件中发现的事实。
甘布林提出了一个非常合理的观点,即该应用程序接口至少可以进行身份验证,而不必完全开放。这对谷歌来说可能是轻松就能修复的问题,但鉴于谷歌已经不是第一次因此应用程序接口而备受抨击了,想来事情也不会太快发生转变。
来源:新浪科技
